欧盟;金融隐私保护;评价与启示
|
来源:网友投稿
摘要:在现代社会,随着金融全球化、金融一体化、金融信息化的迅猛发展,如何规制金融隐私权、如何在保障金融机构营运自由与尊重个人隐私权之间寻求利益平衡也已成为世界各国隐私权立法保护中的重点。文章试从欧盟金融隐私保护法律制度入手,探析完善我国金融隐私保护法律制度的相关措施。
关键词:欧盟;金融隐私保护;评价与启示
一、金融隐私权的内涵
金融隐私权(financial pri-vacy)是一个来自西方的概念,也可译作“财务隐私权”,是个人对于本人金融资料(fi-nancial information)所享有的隐私权利,即个人控制收集、揭露和使用关于其本人金融交易或事务的权利。在消极方面,个人在与金融机构,包括与银行机构、证券机构、保险机构的交易中,有要求交易相对人不得任意透露信息的权利,可以对抗来自于第三人的不当侵犯;在积极方面,个人可以请求交易相对人改正对其产生不当影响的不实金融记录,甚至在受到损害时要求赔偿。
金融隐私权不同于以精神性利益为客体的通常的隐私权,它与信息持有者的经济利益或财产利益紧密相连,是一种兼具人格权与财产权性质的混合性商事权利,是商事伦理制度化的产物。一般地说,金融隐私权所涉及的个人金融信息包括:有关账户的信息,包括账户上所存款项、收支情况、资金来源和去向、账户记录、信用卡的情况;有关客户交易的信息,包括交易标的、种类、性质、内容、价格、当事人、时间等;银行因保管客户的账户而获得的与客户有关的任何信息,主要指客户提供给银行的个人信息,包括姓名、住址、电话号码以及个人收入状况等及客户的衍生信息,即对客户的金融信息进行分析的基础上产生的主观信息,如个人的交易习惯、消费偏好等。
二、欧盟金融隐私权法律制度及评价
欧盟对于所有行业的隐私保护实行同一标准。欧洲议会和欧盟委员会于1995年通过了《关于对个人数据处理中的个体予以保护以及这些数据的自由流动的指令》(Directive 95/46/EC on the protection of individu-alswith regard tothe processingof personal data and on the free movement of such data)(以下简称《指令》)。《指令》有两个目标,一是保证个人数据在网上的自由流动,另一个是为数据主体的隐私提供统一水平的保护。另外,《指令》规定,个人信息是指关于已识别或可识别的自然人即“数据主体”的任何信息;可识别的人是指可直接或间接地、特别是可通过识别号码或其特定的生理、心理、经济、文化或社会身份等一个或多个因素而被识别的人。
(一)《指令》规定的金融隐私基本制度
1、保护范围。(1)数据类型及处理形式。欧盟数据保护《指令》涵盖的个人数据类型及处理形式比较广泛,包括非财务数据、某些数据处理类型以及某些主权管辖范围内外的数据处理。关于金融数据,《指令》的定义为“任何与一个被证实的或可以证实的自然人有关的信息”,同时它将“对个人数据的任何操作”也作为“数据处理”包含进来,使得数据保护法适用于几乎所有数据处理操作类型,包括身份描述和身份分析。(2)地域范围。为了防止大量个人信息被收集用以危害个人隐私,或者阻碍信息自由流动,欧盟《指令》覆盖了广泛的地理管辖范围,包含了使用成员国或其管辖领土内设备的数据控制者和处理者,还包含在第三国处理欧盟公民个人数据的情形。
2、数据主体对个人信息的存取权、获得信息权和拒绝权。数据控制者或其代理人必须向其收集个人数据的数据主体提供有关控制者身份、数据处理目的的信息。每个数据主体均有权从控制者处获取信息。数据主体有权以令人相信的有关其个人情况的合法理由随时拒绝有关其个人的数据处理,有权拒绝控制者为直接营销目的计划进行的数据处理,或者有权在私人数据首次为直接营销之目的向第三方披露前或代表他们使用前,得到通知,并可以明确地取得拒绝此类披露或使用的权利,且不承担费用。
3、数据处理合法性原则。个人数据仅在下列几种情况下方可处理:(1)数据主体毫不含糊地表明其同意;(2)为履行数据主体作为一方当事人的合同,或在签订合同时经数据主体请示为采取措施有必要处理时;(3)为履行约束控制者的义务有必要处理时;(4)为保护数据主体的重大利益有必要处理时;(5)为公共利益或者获得接受信息披露的第三人正式授权而完成有关事务,有必要处理时;(6)控制者为追求合法利益,有必要时。禁止处理敏感数据,禁止泄露种族、政治观点、宗教或哲学信仰、工会身份的私人数据的处理,并禁止有关健康和性生活的数据的处理。
4、数据质量原则。《指令》规定了数据质量原则。数据必须准确地得到处理,收集数据必须是为特定、明确且合法的目的,数据收集和处理必须是相关的、不过度的。数据必须及时更新,数据保存不得超过必要的时间。
5、消费者对信息共享的控制标准。首先,在欧盟,数据的处理必须符合指定的用途。除非满足某些条件以确保处理是“公平合法”,否则,不可随意对数据进行处理、使用和转移。如果用于非指定用途,数据控制者必须从数据主体那里得到明确的授权,或者这种使用对于另外一些重要利益来说是必不可少的,如为了履行合同或者为了数据主体的“重大利益”。其次,在欧盟,消费者可以对向关联方转移数据进行选出(opt out)。金融机构是多种行业的联合大企业,如综合银行,数据保护法允许在公司内部各部门之间实现自由共享。欧盟《指令》对数据处理方与代理人之间的合约关系又多有限制,它特别规定,除非得到数据控制者的指示,否则数据处理者不得处理数据。此外,数据控制者对确保数据处理的安全负有最后责任。最后,欧盟《指令》规定,如果数据主体“明确表示同意”,则数据处理是合法的。
6、关于司法救济、法律责任和制裁。数据主体在不影响任何有规定的行政救济的情况下,有权向司法机关寻求救济。任何人由于非法处理操作和任何违反根据该批示所采取的国家法律的行为而遭受损害时,有权要求损害赔偿。各成员国应采取适当的措施以确保该指示的全面实施,特别应该制裁违反根据该指示所采取的规定的行为。
(二)对《指令》的评价
1、虽然《指令》第25条对数据转移做出限制性规定,但是在一些国家没有得到完全的履行,而且有证据表明欧盟金融机构也在大量收集数据。虽然欧盟可能将防止数据转移的理论上的权利视作一项重要权利,但是实际上,它也并不能为欧盟公民提供更多实际保护。那些由于经营原因而决定大量收集信息的机构总会找到收集的途径。
2、《指令》规定,如果数据主体“明确表示同意”,则数据处理是合法的。但是,实际上,欧盟的国内数据保护官允许一个选出的机制,只是对敏感数据保留选入的严格标准。欧盟《指令》并没有明确规定构成同意的形式,因而在成员国之间广泛认同选出标准,而不是选入标准。因为对于金融机构及其服务的人们而言,选入机制的成本太过高昂。
3、欧盟数据保护《指令》规定了数据主体的存取权,但数据主体的查询权实际上并没有《指令》表面上所显示的那样广泛。对一般查询权有几个重要的限制,包括查询权不得构成对数据控制者的不适当的负担。而且,个人信息查询权不包括那些个人只是作为一个参与者而不是数据主体的档案。统计数据表明,在欧盟,查询需求量并不大。
三、我国的金融隐私保护法律制度现状及其完善
(一)我国的金融隐私保护法律制度现状
目前我国对于金融隐私权的保护仍然没有专门的立法,最早规定银行保密义务的是1992年的《储蓄管理条例》第5条,该条规定“储蓄机构办理储蓄业务,必须遵循为储户保密的原则”。此外,1995年《商业银行法》第29条中规定:“商业银行办理个人储蓄存款业务应遵循为存款人保密的原则。对个人储蓄存款,商业银行有权拒绝任何单位或个人查询、冻结、扣划,但法律另有规定的除外”。虽然上述两项规定都体现了银行保密原则,但极为笼统,简单零散,侧重于银行对金融隐私权保护的义务规定,缺乏系统性和协调性,无法应对现实情况的多样性与复杂性,难以有效地保护客户的金融隐私权。同时,我国也没有明确的隐私权保护制度。目前,我国公民的个人隐私都是放在《民法通则》的名誉权下进行间接保护。2003年开始起草的《个人信息保护法》保护对象是公民的个人信息,即一切可识别为是特定自然人的属人或属事的信息,当然也包括公民的金融信息,但至今没有出台。如何保护金融隐私权成为我国法律界亟待解决的问题。
(二)完善我国金融隐私保护法律制度的相关建议
以《指令》为代表的欧洲模式是当今世界个人资料保护的最高标准。欧盟实行一体化保护,不分行业,隐私保护堪称全世界最高水平。但是成员国在实际上对《指令》做出种种变通规定,法律上的文字规定和实际保护水平存在一定差异,实际上降低了《指令》的可执行性。以此来看,从我国实际国情来看,我国立法保护金融隐私权应以预防损害,而不是保证消费者个人信息控制权为首要目标,首先应满足比较低的金融隐私保护标准,这样既不至于给金融机构的经营管理以太大的压力,又可以符合我国目前的国情。
1、我国应该在民法中确认隐私权保护制度,对其提供直接保护。我国对隐私权一直进行间接保护,这不利于保护我国公民的人格尊严,也不利于公民金融隐私信息的保护。我国隐私权制度的确立已经刻不容缓。在此基础上,对金融隐私权立法。明确金融隐私权的内容、金融隐私权保护的内容、主客体及明确金融隐私权保护的例外情形和救济机制等。我国目前的立法现状是要制定一部《个人信息保护法》对个人信息进行统一保护。我国立法机关的统一立法模式是在认真分析我国具体国情基础上做出的正确选择。但是,统一立法对金融信息的保护是远远不够的。因为金融信息相比其他的普通信息具有特殊性,需要进行专门的法律规制。因此,我国的金融管理部门应当制定具体的实施细则配合《个人信息保护法》在金融领域的施行,规范金融领域个人信息的保护,尽快制定具体的实施细则。
2、要处理好金融信息权与政府知情权的关系。要明确规定信息持有人应有的保护个人信息的权利。包括知情权、修改权和索赔权等。信息持有人有权要求保障其信息免受非法和不正当使用的侵害,而且应当有决定何时、何地以何种方式与外界沟通其信息的主动支配权;有权质询其信息如何收集、使用和管理,查阅、抄录或者复制自身的有关资料,有权阻止某些个人信息的发布、转让、出售。应采取措施保障客户能够及时知道关于自己资料的存在及内容,以便其在必要时要求修正。同时,政府应享有对于与国家利益相关的金融信息的全部知情权。
参考文献:
1、陈永.欧盟和美国关于信息隐私保护的比较研究[J].北大国际法与比较法评论,2003(2).
2、Alfredo Sousa De Jesus.Data Protection in EUFinancial Services[J].ECRI ResearchReport,2004(6).
3、国家保密局法规处.德国荷兰保密法律制度[M].金城出版社,2001.
4、程合红.商事人格权论[M].中国人民大学出版社,2001.
(作者单位:中国人民银行海口中心支行)